Az EU-Szerződés alapján elfogadott jogi aktusok)

III

(Az EU-Szerződés alapján elfogadott jogi aktusok)

az EU-SzERzŐDÉS VI. CÍME

aLaPJÁN

ELFOGaDOTT JOGI

aKTUSOK

A TANÁCS 2008/977/IB KERETHATÁROZATA

(2008. november 27.)

a büntetőügyekben folytatott rendőrségi és igazságügyi együttműködés keretében feldolgozott személyes adatok védelméről

az EURÓPaI UNIÓ TaNÁCSa,

tekintettel az Európai Unióról szóló szerződésre és különösen annak 30. és 31. cikkére, valamint 34. cikke (2) bekezdésének

b) pontjára,

tekintettel a Bizottság javaslatára,

tekintettel az Európai Parlament véleményére (1), mivel:

(4)

bűnözés elleni küzdelem céljából feldolgozott személyes adatok feldolgozására és védelmére vonatkozó közös előírások mindkét cél megvalósításához hozzájárulnak.

az Európai Tanács által 2004. november 4-én elfogadott, az Európai Unióban a szabadság, a biztonság és a jog érvényesülése megerősítéséről szóló hágai program hang­ súlyozta, hogy innovatív megközelítésre van szükség a bűnüldözési információknak az adatvédelmi terület kulcs­ fontosságú feltételeinek szigorú betartásával végzett, ha­ tárokon átnyúló cseréjéhez, és felkérte a Bizottságot, hogy legkésőbb 2005 végéig nyújtsa be az erre vonat­ kozó javaslatait. Erre a felkérésre válaszolt az Európai Unióban a szabadság, a biztonság és a jog érvényesülése megerősítéséről szóló hágai program végrehajtásáról

(1)

(2)

(3)

az Európai Unió célul tűzte ki maga számára a szabadság, a biztonság és a jog érvényesülésén alapuló térség fenntartását és továbbfejlesztését, amelyben a büntetőügyekben folytatott rendőrségi és igazságügyi együttműködés területén a tagállamok által közösen végrehajtott fellépésekkel magas szintű biztonságot kell megteremteni.

az Európai Unióról szóló szerződés 30. cikke (1) bekez­ désének b) pontja értelmében a rendőrségi együttmű­ ködés területén megvalósítandó közös fellépés és az Európai Unióról szóló szerződés 31. cikke (1) bekezdé­ sének a) pontja értelmében a büntetőügyekben folytatott igazságügyi együttműködés területén megvalósítandó közös fellépés magában foglalja a megfelelő információk feldolgozásának szükségességét, amit a személyes adatok védelmére vonatkozó megfelelő rendelkezések alapján kell elvégezni.

az Európai Unióról szóló szerződés VI. címének hatálya alá tartozó jogszabályoknak hozzá kell járulniuk a bünte­ tőügyekben folytatott rendőrségi és igazságügyi együtt­ működés javításához, annak hatékonysága és jogszerű­ sége, valamint az alapvető jogok – különösen a magán­ élethez és személyes adatok védelméhez való jog – tisz­ teletben tartása tekintetében. a bűnmegelőzés és a

szóló tanácsi és bizottsági cselekvési terv (2).

(5) a személyes adatoknak a büntetőügyekben folytatott rendőrségi és igazságügyi együttműködés keretében, külö­ nösen az információ hozzáférhetőségének a hágai prog­ ramban megállapított elve szerint végzett cseréjét olyan egyértelmű szabályoknak kell támogatniuk, amelyek erősítik az illetékes hatóságok közötti kölcsönös bizalmat, és biztosítják, hogy az érintett információk védelme kizárja a megkülönböztetést a tagállamok között folytatott ilyen együttműködés tekintetében, miközben az adatalanyok alapvető jogainak tiszteletben tartása xxxxx déktalanul teljesül. a jelenleg hatályos európai szintű jogszabályok ehhez nem megfelelőek. a személyes adatok feldolgozása vonatkozásában az egyének védel­ méről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24-i 95/46/EK európai parlamenti és tanácsi irányelv (3) nem alkalmazandó a személyes adatoknak az olyan tevékenységek során végzett feldol­ gozására, amelyek kívül esnek a közösségi jog hatályán, mint az Európai Unióról szóló szerződés VI. címében megállapított tevékenységek, valamint semmilyen esetben nem vonatkozik a közbiztonsággal, a védelemmel, a nemzetbiztonsággal, továbbá a büntetőjog területén foly­ tatott állami tevékenységekkel kapcsolatos feldolgozási műveletekre.

(2) HL C 198., 2005.8.12., 1. o.

(1) HL C 125. E, 2008.5.22.,154. o. (3) HL L 281., 1995.11.23., 31. o.

(6) E kerethatározat kizárólag a bűncselekmények megelő­ zése, nyomozása, felderítése, büntetőeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából az ille­ tékes hatóságok által gyűjtött vagy feldolgozott adatokra alkalmazandó. E kerethatározat a tagállamokra bízza annak nemzeti szinten történő pontosabb meghatáro­ zását, hogy mely egyéb célok tekinthetők összeegyeztet­ hetetlennek azzal a céllal, amelyből a személyes adatokat eredetileg gyűjtötték. Általában a történelmi, statisztikai vagy tudományos célból történő további feldolgozás nem tekintendő összeegyeztethetetlennek a feldolgozás eredeti céljával.

(7) E kerethatározat hatálya a tagállamok között továbbított vagy hozzáférhetővé tett személyes adatok feldolgozására korlátozódik. E korlátozásból nem vonható le következ­ tetés az Uniónak a személyes adatok tagállami szinten történő gyűjtésével és feldolgozásával kapcsolatos jogi aktusok elfogadására vonatkozó jövőben hatáskörére vagy arra vonatkozóan, hogy az Unió célszerűség esetén a jövőben ekként járjon el.

a pontosság követelménye nem vonatkozhat egy kije­ lentés pontosságára, hanem kizárólag arra a tényre, hogy sor került egy adott nyilatkozat megtételére.

(13) a külön adatállományban való archiválás csak akkor engedélyezhető, ha az adatokra bűncselekmények mege­ lőzése, nyomozása, felderítése, büntetőeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából már nincs szükség. a külön adatállományban való archiválás abban az esetben is engedélyezhető, ha az archivált adatokat az adatbázisban más adatokkal együtt olyan módon tárolják, hogy azok már nem használhatók fel bűncselekmények megelőzése, nyomozása, felderítése, büntetőeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából. a megfelelő archiválási időszakot az archiválás célja és az adatalanyok jogos érdekei alapján kell megállapítani. a történelmi célú archiválás esetében nagyon hosszú időtartam is megállapítható.

(8)

az Unión belüli adatcsere megkönnyítése érdekében a

(14)

az adatok az adathordozó megsemmisítésével is töröl­ hetők.

tagállamoknak biztosítani kívánják, hogy az adatvéde­ lemnek a nemzeti adatfeldolgozásban megvalósuló szintje megfeleljen e kerethatározat rendelkezéseinek. a nemzeti adatfeldolgozás tekintetében ez a kerethatározat nem zárja ki azt, hogy a tagállamok a személyes adatok védelme vonatkozásában az e kerethatározatban megálla­ pítottaknál szigorúbb rendelkezéseket állapítsanak meg.

(9) Ez a kerethatározat nem alkalmazandó az olyan szemé­ lyes adatokra, amelyeket egy tagállam e kerethatározat hatálya alatt szerzett, és amely adatok az adott tagál­

(15) a más tagállamoknak továbbított vagy azok számára hozzáférhetővé tett, valamint a kvázi igazságügyi ható­ ságok – amelyek jogilag kötelező határozatok meghoza­ talára felhatalmazott hatóságok – általi további feldol­ gozás tárgyává tett hibás, hiányos vagy már nem napra­ kész adatok helyesbítését, törlését vagy zárolását a nemzeti jognak megfelelően kell elvégezni.

lamból származnak.

(10) a tagállami jogszabályok közelítése nem vezethet az általuk nyújtott védelem szintjének csökkenéséhez, hanem – épp ellenkezőleg – magas szintű védelmet kell biztosítania az Unión belül.

(16)

az egyének személyes adatai magas szintű védelmének

biztosítása érdekében a más tagállamok illetékes ható­ ságai által végzett adatfeldolgozás jogszerűségét és az adatok minőségét meghatározó közös rendelkezésekre van szükség.

(11) Meg kell határozni a rendőrségi és igazságügyi tevékeny­ ségek keretén belüli adatvédelem célkitűzéseit, valamint a személyes adatok feldolgozásának jogszerűségére vonat­ kozó előírásokat annak biztosítása érdekében, hogy minden olyan információ feldolgozása, amelynek cseré­ jére sor kerülhet, jogszerűen és az adatminőségre vonat­ kozó hatályos alapelvekkel összhangban történjen. a rendőrség, a vám-, az igazságügyi és egyéb illetékes ható­ ságok törvényes tevékenységei ugyanakkor semmilyen módon nem akadályozhatók.

(17) Helyénvaló európai szinten meghatározni azokat a felté­ teleket, amelyek alapján a tagállamok illetékes hatóságai a más tagállamoktól átvett személyes adatokat a tagállamok hatóságai és magánfelei számára továbbíthatják és hozzá­ férhetővé tehetik. Bűnüldözési célból vagy a közbizton­ ságot közvetlenül és súlyosan fenyegető esemény mege­ lőzése, valamint annak megakadályozása céljából, hogy az egyének jogai súlyosan sérüljenek, számos esetben szükség van arra, hogy az igazságügyi hatóságok, a rendőrség vagy a vámhatóság személyes adatokat továb­ bítson magánfelek részére, például azáltal, hogy a bankok és hitelintézetek számára értékpapírok hamisítására vonatkozó figyelmeztetést ad ki, vagy – a járművekkel kapcsolatos bűncselekmények terén – a biztosítótársasá­ gokkal személyes adatokat közöl a lopott gépjárművek

(12)

az adatok pontosságának elvét az érintett feldolgozás

tiltott kereskedelmének megakadályozása vagy a lopott

természetére és céljára figyelemmel kell alkalmazni. Például különösen a bírósági eljárások során az adatok az egyének szubjektív érzékelésén alapulnak, és egyes esetekben teljesen ellenőrizhetetlenek. Ebből következően

gépjárművek külföldről való visszaszerzése feltételeinek javítása érdekében. Ez nem egyenértékű a rendőrségi vagy igazságszolgáltatási feladatok magánfelekre való átruházásával.

(18) E kerethatározatnak a személyes adatok igazságügyi ható­ ságok, rendőrség vagy vámhatóság általi, magánfelek részére történő továbbítására vonatkozó szabályai nem alkalmazandók az adatoknak büntetőeljárás keretében magánfelek (például védőügyvédek és áldozatok) számára való kiadására.

(19) Valamely más tagállam illetékes hatóságától átvett vagy az által hozzáférhetővé tett személyes adatok további feldolgozására, különösen az ilyen adatok továbbítására vagy hozzáférhetővé tételére vonatkozóan európai szinten közös szabályokat kell megállapítani.

(20) amennyiben a személyes adatok további feldolgozása

érdekei forognak kockán, például létfontosságú infra­ struktúráját fenyegeti közvetlen és komoly veszély vagy pénzügyi rendszerében okozhatnak súlyos zavarokat.

(26) Szükséges lehet, hogy az adatalany tájékoztatást kapjon adatai feldolgozásáról – különösen a titkos adatgyűjtési intézkedések eredményeként bekövetkező különösen súlyos jogsértések esetében – annak érdekében, hogy hatékony jogi védelemben részesülhessen.

(27) a tagállamoknak biztosítaniuk kell, hogy az adatalany tájékoztatást kapjon személyes adatainak bűncselekmé­ nyek megelőzése, nyomozása, felderítése, büntetőeljárás

(21)

abban az esetben lehetséges, ha azon tagállam, amelytől

az adatok származnak, ehhez hozzájárulását adta, az egyes tagállamok meghatározhatják az e hozzájárulásra vonatkozó szabályokat, így például az információkategó­ riákra vagy a további feldolgozás kategóriáira vonatkozó általános hozzájárulás formájában.

amennyiben a személyes adatok közigazgatási eljárások céljából tovább feldolgozhatók, az ilyen eljárások magukban foglalják a szabályozó és felügyeleti szervek által végzett tevékenységeket is.

lefolytatása vagy büntetőjogi szankciók végrehajtása céljából történő gyűjtéséről, feldolgozásáról vagy más tagállam részére történő továbbításáról, illetve ezek lehe­ tőségéről. az adatalany tájékoztatáshoz való jogára és az az alóli kivételekre vonatkozó szabályokat a nemzeti jog határozza meg. Ez történhet általános formában, például jogszabály útján, vagy a feldolgozási műveletek listájának közzétételével.

(28) a személyes adatok védelme érdekében – a bűnügyi nyomozások céljai veszélyeztetése nélkül – meg kell hatá­ rozni az adatalany jogait.

(22) a rendőrség, a vám-, az igazságügyi és egyéb illetékes hatóságok törvényes tevékenységei szükségessé tehetik az adatoknak harmadik országok olyan hatóságai vagy olyan nemzetközi szervek részére történő átadását, amelyek feladata a bűncselekmények megelőzése, nyomo­ zása, felderítése, büntetőeljárás lefolytatása vagy büntető­ jogi szankciók végrehajtása.

(29) Néhány tagállam rendelkezett az adatalany hozzáférési jogáról büntetőügyekben egy olyan rendszeren keresztül, amelyben az adatalany helyett a nemzeti felügyeleti hatóság fér hozzá – korlátozás nélkül – az adatalannyal kapcsolatos valamennyi személyes adathoz, és a hibás adatokat helyesbítheti, törölheti vagy naprakésszé is teheti. a közvetett hozzáférés ezen esetében e tagállamok

(23)

(24)

amennyiben valamely tagállamból személyes adatokat továbbítanak harmadik államok vagy nemzetközi szervek részére, ezen adatoknak általában megfelelő szintű véde­ lemben kell részesülniük.

abban az esetben, ha személyes adatokat az egyik tagál­ lamból továbbítanak harmadik országoknak vagy nemzetközi szerveknek, az adatátadásra általában csak azután kerülhet sor, miután az a tagállam, amelyből az adatok származnak, ahhoz hozzájárult. Minden tagál­ lamnak lehetővé kell tenni a hozzájárulásra vonatkozó szabályok meghatározását, így például az információka­ tegóriákra vagy az egyes államokra vonatkozó általános hozzájárulás formájában.

nemzeti joga rendelkezhet úgy, hogy a nemzeti felügye­ leti hatóság csak arról tájékoztatja az adatalanyt, hogy a szükséges ellenőrzésekre sor került. E tagállamok ugyan­ akkor rendelkeznek az adatalanyok különleges esetekben történő közvetlen hozzáférési lehetőségéről; ilyen például a bűnügyi nyilvántartáshoz való hozzáférés, valamint a hatósági erkölcsi bizonyítvány vagy a saját rendőrségi kihallgatáshoz kapcsolódó dokumentumok másolatának megszerzése.

(30) Helyénvaló az adatfeldolgozás titkosságára és biztonsá­ gára, az illetékes hatóságok általi jogellenes adatfelhasz­ nálással kapcsolatos felelősségre és szankciókra, valamint az adatalany rendelkezésére álló jogorvoslatokra vonat­ kozó közös szabályok megállapítása. Minden tagállam maga határozza meg azonban a kártérítéssel kapcsolatos

(25) a hatékony bűnüldözési együttműködés érdeke azt

kívánja, hogy abban az esetben, ha valamelyik tagállam vagy harmadik állam közbiztonságát olyan közvetlen veszély fenyegeti, amely kizárja az előzetes hozzájárulás kellő időben történő beszerzését, az illetékes hatóságnak lehetővé kell tenni, hogy a megfelelő személyes adatokat az ilyen előzetes hozzájárulás nélkül továbbíthassa az érintett harmadik államnak. Ugyanez vonatkozik arra az esetre, ha valamely tagállam ugyanolyan fontos alapvető

szabályainak, valamint a nemzeti adatvédelmi rendelke­ zések megsértése esetén alkalmazandó szankcióknak a jellegét.

(31) Ez a kerethatározat lehetővé teszi az általa megállapított elvek érvényesítése során a hivatalos dokumentumokhoz való nyilvános hozzáférés elvének figyelembevételét.

(32)

amennyiben a személyes adatok védelmére az arányai és jellege miatt az alapvető jogokra és szabadságokra nézve különös kockázatokat jelentő feldolgozás – például az új technológiák, mechanizmusok vagy eljárások felhasználá­ sával történő feldolgozás – tekintetében van szükség, helyénvaló biztosítani, hogy az érintett adatok feldolgo­ zását célzó nyilvántartási rendszerek létrehozása előtt az illetékes nemzeti felügyeleti hatóság véleményét ki kelljen kérni.

(38) Ez a kerethatározat nem érinti a tagállamokra vagy az Unióra a harmadik országokkal kötött kétoldalú és/vagy többoldalú megállapodások értelmében háruló meglévő kötelezettségeket és kötelezettségvállalásokat. a jövőbeli megállapodásoknak meg kell felelniük a harmadik álla­ mokkal folytatott adatcserére vonatkozó szabályoknak.

(33) a feladataikat teljes mértékben függetlenül ellátó felügye­ leti hatóságok létrehozása a tagállamokban a tagállamok közötti rendőrségi és igazságügyi együttműködés kere­ tében feldolgozott személyes adatok védelmének alapvető eleme.

(34) a 95/46/EK irányelv alapján a tagállamokban már létre­ hozott felügyeleti hatóságoknak lehetővé kell tenni, hogy az e kerethatározat értelmében létrehozandó nemzeti felügyeleti hatóságok feladatait is elláthassák.

(35) Ezen felügyeleti hatóságoknak rendelkezniük kell a feladataik ellátásához szükséges eszközökkel, beleértve a vizsgálati és beavatkozási hatásköröket – különösen az egyénektől származó panaszok esetén – vagy a bírósági eljárásokban való részvétel jogát is. Ezen felügyeleti ható­ ságoknak hozzá kell járulniuk az adatfeldolgozás átlátha­ tóságának biztosításához azokban a tagállamokban, amelyek joghatósága alá tartoznak. E hatóságok hatás­ körei ugyanakkor nem sérthetik a büntetőeljárásokra vagy a bírói testületek függetlenségére vonatkozó különös előírásokat.

(39)

az Európai Unióról szóló szerződés VI. címe alapján elfogadott több jogi aktus különös rendelkezéseket tartalmaz az adott jogi aktus alapján kicserélt vagy egyéb módon feldolgozott személyes adatok védelmével kapcsolatban. Bizonyos esetekben e rendelkezések olyan teljes körű és koherens szabályozást alkotnak, amely az adatvédelem valamennyi területére (adatminőségi elvek, adatbiztonsági szabályok, az adatalanyok jogainak és biztosítékainak szabályozása, a felügyelet szervezése és a felelősség) kiterjed, és ezeket a kérdéseket e kerethatá­ rozatnál részletesebben szabályozzák. E jogi aktusok adatvédelemre vonatkozó rendelkezéseit, különösen az Europol, az Eurojust, a Schengeni Információs Rendszer (SIS) és a váminformációs rendszer (CIS) működésével kapcsolatos, valamint a tagállamok hatóságai számára a többi tagállam egyes adatrendszereihez való közvetlen hozzáférést lehetővé tevő rendelkezéseket ez a kerethatá­ rozat nem érinti. Ugyanez vonatkozik a DNS-profi­ loknak, a daktiloszkópiai adatoknak és a nemzeti gépjármű-nyilvántartási adatoknak a különösen a terro­ rizmus és a határokon átnyúló bűnözés elleni küzdelemre irányuló, határokon átnyúló együttműködés megerősíté­ séről szóló, 2008. június 23-i 2008/615/IB tanácsi hatá­ rozat (4) alapján a tagállamok közötti automatizált továb­ bítására vonatkozó adatvédelmi rendelkezésekre is.

(36)

az Európai Unióról szóló szerződés 47. cikke értelmében a Szerződés rendelkezései nem érintik az Európai Közös­ ségeket létrehozó szerződéseket, illetve az azokat módo­ sító vagy kiegészítő további szerződéseket és okmá­ nyokat. Ennek megfelelően ez a kerethatározat nem érinti a személyes adatoknak a közösségi jog szerinti, külö­ nösen a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áram­ lásáról szóló 95/46/EK irányelvben, a személyes adatok közösségi intézmények és szervek által történő feldolgo­ zása tekintetében az egyének védelméről, valamint az ilyen adatok szabad áramlásáról szóló, 2000. december 18-i 45/2001/EK európai parlamenti és tanácsi rende­ letben (1), valamint az elektronikus hírközlési ágazatban a személyes adatok feldolgozásáról és a magánélet védel­ méről szóló, 2002. július 12-i 2002/58/EK európai parla­ menti és tanácsi irányelvben (2) (elektronikus hírközlési adatvédelmi irányelv) meghatározott védelmét.

(40) Más esetekben az Európai Unióról szóló szerződés VI. címe alapján elfogadott jogi aktusokban foglalt adatvé­ delmi rendelkezések hatálya korlátozottabb. E rendelke­ zések gyakran különös feltételeket határoznak meg a más tagállamoktól személyes adatokat tartalmazó informáci­ ókat átvevő tagállam számára az adatok felhasználásának lehetséges céljaira vonatkozóan, míg az adatvédelemre egyéb tekintetben az Európa Tanácsnak az egyének személyes adataik gépi feldolgozása során való védel­ méről szóló, 1981. január 28-i egyezményére vagy a nemzeti jogra hivatkoznak. amennyiben e jogi aktusok rendelkezései a személyes adatoknak az átvevő tagállam általi felhasználására vagy továbbítására vonatkozóan az e kerethatározat megfelelő rendelkezéseiben foglalt feltéte­ leknél szigorúbb feltételeket állapítanak meg, az előbbi rendelkezéseket változatlanul hatályban kell tartani. Minden egyéb tekintetben azonban az e kerethatáro­ zatban foglalt szabályok alkalmazandók.

(37) Ez a kerethatározat nem sérti az információs rendszerek elleni támadásokról szóló, 2005. február 24-i 2005/222/IB tanácsi kerethatározatban (3) meghatározott, az adatokhoz való jogellenes hozzáférésre vonatkozó szabályokat.

(1) HL L 8., 2001.1.12., 1. o.

(2) HL L 201., 2002.7.31., 37. o.

(41) Ez a kerethatározat nem sérti az Európa Tanácsnak az egyének személyes adataik gépi feldolgozása során való védelméről szóló egyezményét, annak 2001. november 8-i kiegészítő jegyzőkönyvét, illetve az Európa Tanács büntetőügyekben folytatott igazságügyi együttműködésről szóló egyezményeit.

(3) HL L 69., 2005.3.16., 67. o. (4) HL L 210., 2008.8.6., 1. o.

(42) Mivel e kerethatározat célját, nevezetesen a büntető­ ügyekben folytatott rendőrségi és igazságügyi együttmű­ ködés keretében feldolgozott személyes adatok védelmére vonatkozó közös szabályok meghatározását a tagállamok nem tudják kielégítően megvalósítani, és így az intéz­ kedés terjedelme és hatásai miatt az uniós szinten jobban megvalósítható, az Unió az Európai Közösséget létrehozó szerződés 5. cikkében foglalt és az Európai Unióról szóló szerződés 2. cikkében említett szubszidiaritás elvének

megfelelően intézkedéseket fogadhat el. az Európai

a schengeni vívmányok azon rendelkezéseinek továbbfej­ lesztését képezi, amelyek – e megállapodásnak az Európai Unió és az Európai Közösség nevében történő aláírásáról szóló 2008/149/IB tanácsi határozat (6) 3. cikkével össze­ függésben – az 1999/437/EK határozat 1. cikkének H. és

I. pontjában említett terület hatálya alá tartoznak.

(47) Liechtensteint illetően ez a kerethatározat az Európai

(43)

Közösséget létrehozó szerződés 5. cikkében foglalt arányosság elvével összhangban ez a kerethatározat nem lépi túl az e célok eléréséhez szükséges mértéket.

az Egyesült Királyság az Európai Unióról szóló szerző­ déshez és az Európai Közösséget létrehozó szerződéshez csatolt, a schengeni vívmányoknak az Európai Unió kere­ tébe történő beillesztéséről szóló jegyzőkönyv 5. cikkével, valamint a Nagy-Britannia és Észak-Írország Egyesült Királyságának a schengeni vívmányok egyes rendelkezé­ seinek alkalmazásában való részvételére vonatkozó kéré­ séről szóló, 2000. május 29-i 2000/365/EK tanácsi hatá­ rozat (1) 8. cikke (2) bekezdésével összhangban részt vesz e kerethatározatban.

Unió, az Európai Közösség, a Svájci Államszövetség és a Liechtensteini Hercegség által aláírt, a Liechtensteini Hercegségnek a Svájci Államszövetségnek a schengeni vívmányok végrehajtására, alkalmazására és továbbfejlesz­ tésére irányuló társulásáról szóló megállapodáshoz való csatlakozásáról szóló jegyzőkönyv értelmében a schen­ geni vívmányok azon rendelkezéseinek továbbfejlesztését képezi, amelyek – e jegyzőkönyvnek az Európai Unió nevében történő aláírásáról szóló 2008/262/IB tanácsi határozat (7) 3. cikkével összefüggésben – az 1999/437/EK tanácsi határozat 1. cikkének H. és I. pont­ jában említett terület hatálya alá tartoznak.

(48) Ez a kerethatározat tiszteletben tartja az alapvető jogokat és betartja a különösen az Európai Unió alapjogi char­ tája (8) által elismert elveket. Ez a kerethatározat az alap­ jogi charta 7. és 8. cikkében foglalt, a magánélethez és a személyes adatok védelméhez való jog teljes körű tiszte­

(44) Írország az Európai Unióról szóló szerződéshez és az Európai Közösséget létrehozó szerződéshez csatolt, a schengeni vívmányoknak az Európai Unió keretébe történő beillesztéséről szóló jegyzőkönyv 5. cikkével, valamint az Írországnak a schengeni vívmányok egyes rendelkezései alkalmazásában való részvételére vonatkozó kéréséről szóló, 2002. február 28-i 2002/192/EK tanácsi határozat (2) 6. cikkének (2) bekezdésével összhangban részt vesz e kerethatározatban.

(45) Izlandot és Norvégiát illetően ez a kerethatározat az Európai Unió Tanácsa, valamint az Izlandi Köztársaság és a Norvég Királyság között létrejött, e két államnak a schengeni vívmányok végrehajtására, alkalmazására és továbbfejlesztésére irányuló társulásáról szóló megálla­ podás (3) értelmében a schengeni vívmányok azon rendel­ kezéseinek továbbfejlesztését képezi, amelyek az ezen megállapodás alkalmazását szolgáló egyes szabályokról szóló 1999/437/EK tanácsi határozat (4) 1. cikkének H. és I. pontjában említett terület hatálya alá tartoznak.

(46) Svájcot illetően ez a kerethatározat az Európai Unió, az Európai Közösség és a Svájci Államszövetség között létre­ jött, a Svájci Államszövetségnek a schengeni vívmányok végrehajtására, alkalmazására és továbbfejlesztésére irányuló társulásáról szóló megállapodás (5) értelmében

(1) HL L 131., 2000.6.1., 43. o.

(2) HL L 64., 2002.3.7., 20. o.

(3) HL L 176., 1999.7.10., 36. o.

(4) HL L 176., 1999.7.10., 31. o.

(5) HL L 53., 2008.2.27., 52. o.

letben tartását kívánja biztosítani,

ELFOGaDTa EzT a KERETHaTÁROzaTOT:

1. cikk

Tárgy és hatály

(1) E kerethatározat célja, hogy a személyes adatoknak az Európai Unióról szóló szerződés VI. címében meghatározott, büntetőügyekben folytatott rendőrségi és igazságügyi együttmű­ ködés keretében végzett feldolgozása során magas szintű védelmet nyújtson a természetes személyek alapvető jogai és szabadságai és különösen a magánélet tiszteletben tartásához való joguk tekintetében, továbbá hogy ezzel egyidejűleg magas fokú közbiztonságot garantáljon.

(2) a tagállamok e kerethatározatnak megfelelően védik a természetes személyek alapvető jogait és szabadságait és külö­ nösen a magánéletük tiszteletben tartásához való jogukat, amennyiben a személyes adatokat bűncselekmények megelő­ zése, nyomozása, felderítése, büntetőeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából

a) a tagállamok továbbítják vagy hozzáférhetővé teszik, illetve továbbították vagy hozzáférhetővé tették más tagállamok számára;

(6) HL L 53., 2008.2.27., 50. o.

(7) HL L 83., 2008.3.26., 5. o.

(8) HL C 303., 2007.12.14., 1. o.

b) a tagállamok továbbítják vagy hozzáférhetővé teszik, illetve továbbították vagy hozzáférhetővé tették az Európai Unióról szóló szerződés VI. címe alapján létrehozott információs rendszerek vagy hatóságok számára; vagy

c) az Európai Unióról szóló szerződés vagy az Európai Közös­ séget létrehozó szerződés alapján létrehozott hatóságok vagy információs rendszerek továbbítják vagy hozzáférhetővé teszik, illetve továbbították vagy hozzáférhetővé tették a tagállamok illetékes hatóságai számára.

(3) Ez a kerethatározat a személyes adatok részben vagy teljesen automatizált módon való feldolgozására, valamint személyesadat-nyilvántartó rendszerek részét képező vagy részévé tenni kívánt személyes adatok más, nem automatizált módon való feldolgozására alkalmazandó.

(4) Ez a kerethatározat nem sérti az alapvető nemzetbizton­ sági érdekeket vagy különleges nemzetbiztonsági hírszerző tevé­ kenységet.

(5) E kerethatározat nem zárja ki azt, hogy a tagállamok a nemzeti szinten gyűjtött vagy feldolgozott személyes adatok védelme vonatkozásában az e kerethatározatban megállapítot­ taknál szigorúbb biztosítékokat tartalmazó rendelkezéseket álla­ pítsanak meg.

2. cikk

Fogalommeghatározások

E kerethatározat alkalmazásában:

a) „személyes adat”: az azonosított vagy azonosítható termé­ szetes személyre („adatalanyra”) vonatkozó bármely infor­ máció; az azonosítható személy olyan személy, aki közvet­

e) „adatfeldolgozó”: bármely olyan szerv, amely az adatkezelő megbízásából személyes adatokat dolgoz fel;

f) „címzett”: bármely olyan szerv, amely adatokat kap;

g) „az adatalany hozzájárulása”: az adatalany kívánságának önkéntes, a konkrét esetre vonatkozó és tájékozott kinyilvá­ nítása, amellyel beleegyezését adja az őt érintő személyes adatok feldolgozásához;

h) „illetékes hatóságok”: az Európai Unióról szóló szerződés VI. címe alapján a Tanács által elfogadott jogi aktusokkal létre­ hozott hivatalok vagy szervek, valamint a tagállamok rendőri szervei, vám-, igazságügyi és egyéb illetékes hatóságai, amelyek a nemzeti jog alapján feldolgozhatják az ezen keret­ határozat hatálya alá tartozó személyes adatokat;

i) „adatkezelő”: az a természetes vagy jogi személy, közigazga­ tási hatóság, hivatal vagy bármely más szerv, amely önállóan vagy másokkal együtt meghatározza a személyes adatok feldolgozásának céljait és módját;

j) „megjelölés”: a tárolt személyes adatok megjelölése a jövő­ beni feldolgozásuk korlátozásának szándéka nélkül;

k) „anonimizálás”: a személyes adatok oly módon történő megváltoztatása, hogy a személyes vagy tárgyi körülmények részletei többé ne legyenek vagy csak aránytalanul sok időt, valamint költség- és munkaráfordítást igénylő módon legyenek egy azonosított vagy azonosítható természetes személyhez hozzárendelhetők.

3. cikk

A jogszerűség, az arányosság és a célhoz kötöttség elve

lenül vagy közvetve azonosítható, különösen egy azonosító

(1)

az illetékes hatóságok feladataik ellátása során kizárólag

szám vagy a személy fizikai, fiziológiai, pszichikai, gazdasági, kulturális vagy társadalmi identitására vonatkozó egy vagy több egyedi tényező és a személy egymáshoz rendelése révén;

b) „személyes adatok feldolgozása” és „feldolgozás”: a személyes adatokkal automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletsor, azaz gyűjtés, rögzítés, rendszerezés, tárolás, átalakítás vagy megváltoztatás, visszakeresés, betekintés, felhasználás, továbbítás, nyilvános­ ságra hozatal vagy egyéb módon való hozzáférhetővé tétel révén történő adatátadás, összehangolás vagy összekapcsolás, valamint zárolás, törlés vagy megsemmisítés;

c) „zárolás”: a tárolt személyes adatok megjelölése a jövőbeni feldolgozásuk korlátozása céljából;

d) „személyesadat-nyilvántartó rendszer” és „nyilvántartó rend­ szer”: személyes adatok strukturált – meghatározott kritéri­ umok alapján hozzáférhető – állománya, függetlenül attól, hogy az adatállományt centralizáltan, decentralizáltan vagy funkcionális vagy földrajzi szempontok alapján csoportosítva vezetik-e;

meghatározott, egyértelmű és törvényes célból gyűjthetnek személyes adatokat, és azokat kizárólag abból a célból dolgoz­ hatják fel, amelyből gyűjtötték őket. az adatfeldolgozásnak jogszerűnek, megfelelőnek, relevánsnak és az adatgyűjtés céljához képest nem túlzott mértékűnek kell lennie.

(2) Megengedett az adatok egyéb célból történő további feldolgozása, amennyiben:

a) az nem összeegyeztethetetlen az adatgyűjtés céljaival;

b) az illetékes hatóságok az alkalmazandó jogi rendelkezésekkel összhangban fel vannak hatalmazva ezen adatok ilyen egyéb célból történő feldolgozásra; és

c) a feldolgozás az egyéb cél szempontjából szükséges és arányos.

Ezenfelül az illetékes hatóságok történelmi, statisztikai vagy tudományos célokra is tovább feldolgozhatják a továbbított személyes adatokat, amennyiben a tagállamok megfelelő bizto­ sítékokat – így az adatok anonimizálása – írnak elő.

4. cikk

Helyesbítés, törlés és zárolás

(1) a személyes adatokat helyesbíteni kell, amennyiben azok hibásak, és amennyiben ez lehetséges és szükséges, ki kell egé­ szíteni vagy naprakésszé kell tenni őket.

(2) a személyes adatokat törölni vagy anonimizálni kell, amennyiben azok már nem szükségesek arra a célra, amelyből azokat jogszerűen gyűjtötték vagy tovább feldolgozták. E rendelkezés nem érinti az adatoknak egy külön adatállo­ mányban megfelelő időtartamra, a nemzeti joggal összhangban történő archiválását.

(3) Ha alapos indokok alapján feltételezhető, hogy a törlés sértené az adatalany jogos érdekeit, a személyes adatok nem törölhetők, hanem zárolandók. a zárolt adatokat csak arra a célra lehet feldolgozni, amely megakadályozta azok törlését.

ságok – amennyire ez a gyakorlatban megvalósítható – a továb­ bítást vagy hozzáférhetővé tételt megelőzően ellenőrzik a személyes adatok minőségét. amennyire lehetséges, valamennyi adattovábbításnál csatolni kell olyan információkat, amelyek lehetővé teszik az átvevő tagállam számára, hogy megítélje az adatok pontosságát, teljességét, naprakészségét és megbízható­ ságát. amennyiben a személyes adatokat előzetes kérés nélkül továbbították, az átvevő hatóság haladéktalanul ellenőrzi, hogy ezek az adatok a továbbítás célját tekintve szükségesek-e.

(2) amennyiben megállapításra kerül, hogy hibás adatokat továbbítottak vagy adatokat jogellenesen továbbítottak, erről a címzettet haladéktalanul értesíteni kell. az adatokat késedelem nélkül helyesbíteni, törölni vagy zárolni kell a 4. cikkel össz­ hangban.

9. cikk

Határidők

(4) amennyiben a személyes adatokat bírósági határozat

(1) az adatok továbbításakor vagy hozzáférhetővé tételekor

vagy bírósági határozat kiadásához kapcsolódó nyilvántartás tartalmazza, az adatok helyesbítését, törlését vagy zárolását a bírósági eljárásokra vonatkozó nemzeti szabályokkal össz­ hangban kell elvégezni.

5. cikk

A törlési és felülvizsgálati határidők megállapítása

a személyes adatok törlésére vagy az adattárolás szükségessé­ gének rendszeres felülvizsgálatára megfelelő határidőket kell megállapítani. E határidők betartását eljárásjogi intézkedésekkel kell biztosítani.

6. cikk

Különleges adatkategóriák feldolgozása

a faji vagy etnikai hovatartozásra, a politikai véleményre, a vallási vagy világnézeti meggyőződésre, a szakszervezeti tagságra utaló személyes adatok, valamint az egészségi állapotra vagy a szexuális életre vonatkozó adatok feldolgozása csak abban az esetben megengedett, ha az feltétlenül szükséges, továbbá ha a nemzeti jog gondoskodik a megfelelő biztosítékokról.

7. cikk

Automatizált egyedi döntések

az adatalanyra nézve hátrányos jogi következménnyel járó vagy őt jelentősen érintő olyan döntés, amely kizárólag az adatalany bizonyos személyes vonatkozású értékelése céljából történő automatikus adtafeldolgozáson alapul, csak abban az esetben megengedett, ha azt olyan törvény írja elő, amely az adatalany védelmét biztosító rendelkezéseket állapít meg.

8. cikk

A továbbított vagy hozzáférhetővé tett adatok minőségének ellenőrzése

az adattovábbító hatóság – a nemzeti joggal összhangban, vala­ mint a 4. és 5. cikknek megfelelően – jelezheti az adatok megőrzésére alkalmazandó határidőket, amelyek lejártával a címzett köteles az adatokat törölni vagy zárolni, illetve felülvizs­ gálni, hogy azokra továbbra is szükség van-e. E kötelezettség nem alkalmazandó, amennyiben e határidő lejártakor az adatokra folyamatban levő nyomozás, büntetőeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából van szükség.

(2) amennyiben az adattovábbító hatóság az (1) bekezdésnek megfelelően nem jelölt meg határidőt, a 4. és 5. cikkben említett határidők vonatkozásában az adatok megőrzésére az átvevő tagállam nemzeti joga szerinti határidőket kell alkalmazni.

10. cikk

Adatnaplózás és dokumentáció

(1) a személyes adatok továbbítását minden esetben naplózni vagy dokumentálni kell az adatfeldolgozás jogszerűsé­ gének felülvizsgálata, az önellenőrzés, valamint az adatsértet­ lenség és adatbiztonság biztosítása céljából.

(2) az (1) bekezdés szerinti naplókat vagy dokumentációt kérésre az illetékes adatvédelmi felügyeleti hatóság rendelkezé­ sére kell bocsátani az adatvédelem ellenőrzése céljából. az ille­ tékes felügyeleti hatóság ezeket az információkat kizárólag az adatvédelem ellenőrzésére, továbbá a megfelelő adatfeldolgozás, az adatsértetlenség és az adatbiztonság biztosítására használhatja fel.

11. cikk

Más tagállamtól átvett vagy az által hozzáférhetővé tett személyes adatok feldolgozása

a valamely másik tagállam illetékes hatóságától átvett vagy az által hozzáférhetővé tett személyes adatok további feldolgozása

(1)

az illetékes hatóságok minden ésszerű intézkedést

a 3. cikk (2) bekezdésében meghatározott követelményeknek

megtesznek annak biztosítása érdekében, hogy a hibás, hiányos vagy már nem naprakész személyes adatok ne legyenek továb­ bíthatók vagy hozzáférhetővé tehetők. E célból az illetékes ható­

megfelelően kizárólag a következő, a továbbításuk vagy hozzá­ férhetővé tételük alapjául szolgáló céltól eltérő célokból lehet­ séges:

a) olyan bűncselekmények megelőzése, nyomozása, felderítése, illetve olyan büntetőeljárás lefolytatása vagy olyan büntető­ jogi szankciók végrehajtása, amelyek nem egyeznek meg azon bűncselekményekkel vagy szankciókkal, amelyek céljából az adatokat továbbították vagy hozzáférhetővé tették;

b) egyéb, bűncselekmények megelőzéséhez, nyomozásához, felderítéséhez, büntetőeljárás lefolytatásához vagy büntetőjogi szankciók végrehajtásához közvetlenül kapcsolódó bírósági és közigazgatási eljárások;

c) a közbiztonságot közvetlenül és súlyosan fenyegető esemény megelőzése; vagy

d) bármilyen egyéb célból kizárólag az adattovábbító tagállam előzetes hozzájárulásával vagy az adatalany hozzájárulásával, aminek a megadására a nemzeti jognak megfelelően kerül sor.

Ezenfelül az illetékes hatóságok történelmi, statisztikai vagy tudományos célokra is tovább feldolgozhatják a továbbított személyes adatokat, amennyiben a tagállamok megfelelő bizto­ sítékokat – így az adatok anonimizálása – írnak elő.

12. cikk

A feldolgozásra vonatkozó nemzeti korlátozások betartása

(1) amennyiben az adattovábbító tagállam joga értelmében

b) a harmadik ország átvevő hatósága vagy az átvevő nemzet­ közi szerv feladata bűncselekmények megelőzése, nyomo­ zása, felderítése, büntetőeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása;

c) a tagállam, amelyből az adatok származnak, – nemzeti jogának megfelelően – hozzájárult az adatátadáshoz; és

d) az érintett harmadik állam vagy nemzetközi szerv biztosítja az általa elvégezni szándékozott adatfeldolgozás megfelelő védelmét.

(2) az (1) bekezdés c) pontja szerinti előzetes hozzájárulás hiányában az adatátadás kizárólag abban az esetben megenged­ hető, ha az adatátadás elengedhetetlen egy, valamely tagállam vagy harmadik állam közbiztonságát vagy valamely tagállam alapvető érdekeit közvetlenül és súlyosan fenyegető esemény megelőzéséhez, és az előzetes hozzájárulás nem szerezhető meg kellő időben. a hozzájárulás megadására illetékes hatóságot késedelem nélkül tájékoztatni kell.

(3) az (1) bekezdés d) pontjától eltérve, a személyes adatok átadhatók, ha

a) az adatokat átadó tagállam nemzeti joga a következőkre tekintettel lehetővé teszi azt:

i. az adatalany jogos egyéni érdekei; vagy

bizonyos körülmények esetén az illetékes hatóságai közötti belföldi adatcserék tekintetében különleges korlátozások vonat­ koznak a feldolgozásra, az adattovábbító hatóság e korlátozá­ sokról tájékoztatja a címzettet. a címzett biztosítja e feldolgo­ zásra vonatkozó korlátozások betartását.

ii. jogos, kiemelkedő érdekek, különösen fontos közérdek; vagy

b) a harmadik állam vagy az átvevő nemzetközi szerv olyan

(2) az (1) bekezdés alkalmazása során a tagállamok a más tagállamok vagy az Európai Unióról szóló szerződés VI. címe alapján létrehozott hivatalok vagy szervek részére történő adat­ továbbítás tekintetében nem alkalmazhatnak a hasonló belföldi

(4)

biztosítékokat nyújt, amelyeket az érintett tagállam nemzeti joga értelmében megfelelőnek ítél.

az (1) bekezdés d) pontjában említett védelem szintjének

adattovábbítás tekintetében alkalmazottaktól eltérő korlátozá­ sokat.

13. cikk

Harmadik államok illetékes hatóságainak vagy nemzetközi szerveknek való adatátadás

(1) a tagállamok előírják, hogy más tagállam illetékes ható­ sága által továbbított vagy hozzáférhetővé tett személyes adatok csak akkor adhatók át harmadik államoknak vagy nemzetközi szerveknek, ha:

a) azokra bűncselekmények megelőzése, nyomozása, felderítése, büntetőeljárás lefolytatása vagy büntetőjogi szankciók végre­ hajtása céljából van szükség;

megfelelőségét az adatátadási művelet vagy adatátadási művelet­ sorozat körülményeire figyelemmel kell értékelni. Különös figyelmet kell fordítani az adatok jellegére, a tervezett adatfel­ dolgozási művelet vagy műveletek céljára és időtartamára, a származási országra és az adatok rendeltetése szerinti országra vagy nemzetközi szervre, az adott harmadik országban vagy nemzetközi szervben hatályos általános és különös jogszabályok betartására, valamint az alkalmazandó szakmai szabályokra és biztonsági intézkedésekre.

14. cikk

Magánfelek részére történő adattovábbítás a tagállamokban

(1) a tagállamok előírják, hogy a más tagállam illetékes ható­ ságától átvett vagy az által hozzáférhetővé tett személyes adatok kizárólag akkor továbbíthatók magánfelek számára, ha:

a) azon tagállam illetékes hatósága, amelytől az adatokat átvették, – nemzeti jogának megfelelően – hozzájárult az adattovábbításhoz;

b) az adattovábbítás nem ütközik az adatalany semmilyen jogos egyéni érdekével; és

c) egyes esetekben az adatokat a magánfél számára továbbító illetékes hatóság számára fontos az alábbi célokból:

i. a jogszerűen ráruházott feladatok ellátása;

ii. bűncselekmények megelőzése, nyomozása, felderítése, büntetőeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása;

iii. a közbiztonságot közvetlenül és súlyosan fenyegető esemény megelőzése; vagy

iv. annak megakadályozása, hogy az egyének jogai súlyosan sérüljenek.

(2) az adatokat a magánfél számára továbbító illetékes hatóság tájékoztatja a magánfelet arról, hogy az adatok kizá­ rólag milyen célokra használhatók fel.

15. cikk

Információnyújtás az illetékes hatóság kérelmére

a címzett kérelemre tájékoztatja a személyes adatokat továbbító vagy hozzáférhetővé tevő illetékes hatóságot az adatok feldol­ gozásáról.

16. cikk

Az adatalany tájékoztatása

(1) a tagállamok biztosítják, hogy az adatalany a nemzeti jog rendelkezéseivel összhangban tájékoztatást kapjon személyes adatainak a tagállamok illetékes hatóságai által történő gyűjté­ séről vagy feldolgozásáról.

férhetővé tettek-e rá vonatkozó adatokat, továbbá tájékozta­ tást azon címzettekről vagy címzettek kategóriáiról, akiknek az adatokat átadták, valamint tájékoztatás a feldolgozás alatt álló adatokról; vagy

b) legalább annak a nemzeti felügyeleti hatóság általi megerő­ sítését, hogy valamennyi szükséges ellenőrzést elvégezték.

(2) a tagállamok jogszabályokat fogadhatnak el az adatokhoz az (1) bekezdés a) pontja szerinti hozzáférés korlá­ tozására, amennyiben a korlátozás – kellő tekintettel az érintett személy jogos érdekeire – az alábbiak érdekében szükséges és arányos intézkedésnek tekinthető:

a) hivatalos vagy jogi vizsgálatok, nyomozások vagy eljárások akadályozásának elkerülése;

b) bűncselekmények megelőzése, nyomozása, felderítése, bünte­ tőeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása megsértésének elkerülése;

c) a közbiztonság védelme;

d) a nemzetbiztonság védelme;

e) az adatalany vagy mások jogainak és szabadságainak védelme.

(3) a hozzáférés bármilyen megtagadását vagy korlátozását írásban kell közölni az adatalannyal. Ezzel egyidejűleg közölni kell vele a döntést alátámasztó ténybeli vagy jogi indokokat. a

(2) bekezdés a)–e) pontjában foglalt valamely ok fennállása esetén ez utóbbi közléstől el lehet tekinteni. Valamennyi ilyen esetben az adatalanyt tájékoztatni kell arról, hogy jogorvoslatot kérhet az illetékes nemzeti felügyeleti hatóságtól, valamely igaz­ ságügyi hatóságtól vagy bíróságtól.

(2) amennyiben a tagállamok között személyes adatok továbbítására vagy hozzáférhetővé tételére kerül sor, bármely tagállam – nemzeti jogának az (1) bekezdésben említett rendel­ kezéseivel összhangban – kérheti a másik tagállamot, hogy az

(1)

18. cikk

A helyesbítéshez, törléshez vagy zároláshoz való jog

az adatalanyt megilleti az a jog, hogy elvárja az adatke­

adatalanyt ne tájékoztassa. Ebben az esetben az utóbbi tagállam az előbbi tagállam előzetes hozzájárulása nélkül nem tájékoz­ tathatja az adatalanyt.

17. cikk

Adathozzáféréshez való jog

(1) Valamennyi adatalany jogosult arra, hogy ésszerű időkö­ zönként benyújtott kérelemre, korlátozás, túlzott késedelem vagy költség nélkül megkapja az alábbiakat:

a) legalább annak az adatkezelő vagy a nemzeti felügyeleti hatóság általi megerősítését, hogy továbbítottak vagy hozzá­

zelőtől, hogy a személyes adatok helyesbítésére, törlésére vagy zárolására vonatkozó – e kerethatározatból eredő – kötelezett­ ségeinek a 4., 8. és 9. cikknek megfelelően eleget tegyen. a tagállamok meghatározzák, hogy az adatalany közvetlenül gyakorolhatja-e ezt a jogát az adatkezelővel szemben, vagy pedig az illetékes nemzeti felügyeleti hatóságon keresztül. amennyiben az adatkezelő elutasítja a helyesbítést, törlést vagy zárolást, az elutasítást írásban kell közölni, az adatalanyt pedig tájékoztatni kell a nemzeti jog által a panasz benyújtására vagy a jogorvoslatra biztosított lehetőségekről. a panasz vagy a jogorvoslat vizsgálata során az adatalanyt tájékoztatni kell arról, hogy az adatkezelő megfelelően járt-e el. a tagállamok azt is előírhatják, hogy az illetékes nemzeti felügyeleti hatóság arról tájékoztassa az adatalanyt, hogy felülvizsgálatra került sor.

(2)

amennyiben az adatalany vitatja valamely személyes adat

hálózaton keresztül továbbítják vagy közvetlen automatizált

helyességét, és annak helyessége vagy pontatlansága nem álla­ pítható meg, ezt az adatot meg lehet jelölni.

19. cikk

A kártérítéshez való jog

(1) Minden olyan személy, aki jogellenes adatfeldolgozási művelet vagy az e kerethatározat alapján elfogadott nemzeti rendelkezésekkel összeegyeztethetetlen egyéb intézkedés ered­ ményeképpen kárt szenvedett, kártérítésre jogosult az adatke­ zelő vagy a nemzeti jog szerint illetékes más hatóság részéről.

hozzáférés révén bocsátják rendelkezésre –, valamint az enge­ dély nélküli feldolgozás minden egyéb formája elleni védelem biztosítása érdekében. Ennek során tekintettel kell lenni külö­ nösen a védendő adatok feldolgozásával járó kockázatokra és az adatok jellegére. Tekintettel a technika vívmányaira és alkalma­ zásuk költségeire, ezen intézkedéseknek olyan szintű védelmet kell nyújtaniuk, amely megfelel a védendő adatok feldolgozá­ sával járó kockázatoknak és az adatok jellegének.

(2) az automatikus adatfeldolgozásra vonatkozóan minden tagállam intézkedéseket hajt végre a következő célból:

a) jogosulatlan személyeknek a személyes adatok feldolgozá­ sához használt adatfeldolgozó berendezésekhez való hozzá­

(2)

amennyiben

egy tagállam illetékes hatósága személyes

férése megtiltása (berendezésekhez való hozzáférés ellenőr­

adatokat továbbított, a címzett a nemzeti jog szerinti, a káro­ sulttal szembeni felelőssége tekintetében, védelme érdekében nem hivatkozhat arra, hogy a továbbított adatok hibásak voltak. amennyiben a címzett a helytelenül továbbított adatok felhasz­ nálásából eredő kár miatt kártérítést fizet, az adattovábbító ille­ tékes hatóság a kifizetett kártérítés összegét megtéríti a címzett részére, figyelembe véve a címzett esetlegesen felróható maga­ tartását.

20. cikk

Jogorvoslat

az igazságügyi hatósági eljárást megelőzően igénybe vehető közigazgatási jogorvoslati eljárások sérelme nélkül, az adata­ lanynak jogot kell biztosítani arra, hogy az alkalmazandó nemzeti jog szerint őt megillető jogok megsértése esetén bíró­ sági jogorvoslatot vehessen igénybe.

21. cikk

Az adatfeldolgozás titkossága

(1) az e kerethatározat hatálya alá tartozó személyes adatokhoz hozzáféréssel rendelkező személyek kizárólag az ille­ tékes hatóság tagjaként vagy e hatóság utasítására dolgozhatják fel az adatokat, kivéve, ha törvényi kötelezettségnek tesznek eleget.

(2) azon személyeknek, akik egy tagállam illetékes hatósá­ gánál állnak alkalmazásban, ugyanazokat az adatvédelmi előírá­ sokat kell betartaniuk, mint amelyeket az adott illetékes ható­ ságnak.

22. cikk

Az adatfeldolgozás biztonsága

(1) a tagállamok gondoskodnak arról, hogy az illetékes ható­ ságoknak megfelelő technikai és szervezési intézkedéseket alkal­ mazzanak a személyes adatok véletlen vagy engedély nélküli megsemmisítése, véletlen elvesztése, jogosulatlan megváltozta­ tása, jogosulatlan átadása vagy az ahhoz való jogosulatlan hozzáférés – különösen, ha a feldolgozás keretében az adatokat

zése);

b) az adathordozók jogosulatlan olvasásának, másolásának, módosításának vagy eltávolításának megakadályozása (adat­ hordozók ellenőrzése);

c) a jogosulatlan adatbevitel, valamint a tárolt személyes adatok jogosulatlan megtekintésének, módosításának vagy törlé­ sének megakadályozása (tárolás ellenőrzése);

d) az automatikus adatfeldolgozó rendszerek jogosulatlan személyek általi, adatátviteli berendezés segítségével történő használatának megakadályozása (felhasználók ellenőrzése);

e) annak biztosítása, hogy az automatikus adatfeldolgozó rend­ szer használatára felhatalmazott személyek kizárólag a hozzáférési engedélyben meghatározott adatokhoz férjenek hozzá (az adathozzáférés ellenőrzése);

f) annak biztosítása, hogy lehetséges legyen ellenőrizni és megállapítani, hogy a személyes adatokat adatátviteli beren­ dezés alkalmazásával mely szerveknek továbbították vagy továbbíthatják, illetve bocsátották vagy bocsáthatják rendel­ kezésére (az adattovábbítás ellenőrzése);

g) annak biztosítása, hogy utólag lehetséges legyen ellenőrizni és megállapítani, hogy mely személyes adatokat vittek be automatikus adatfeldolgozó rendszerekbe, valamint hogy az adatokat mikor és ki vitte be (a bevitel ellenőrzése);

h) a személyes adatok átadása vagy az adathordozó szállítása közben történő jogosulatlan adatleolvasás, -másolás, -módo­ sítás vagy -törlés megakadályozása (a szállítás ellenőrzése);

i) annak biztosítása, hogy a telepített rendszereket üzemzavar esetén helyre lehessen állítani (helyreállítás); valamint

j) annak biztosítása, hogy a rendszer teljesíti feladatait, hogy a feladatok során fellépő hibákról jelentés készül (megbízha­ tóság), és hogy a tárolt adatok a rendszer hibás működése esetén nem sérülnek (sértetlenség).

(3) a tagállamok előírják, hogy csak olyan adatfeldolgozó jelölhető ki, amely garantálja, hogy betartja az (1) bekezdés szerint szükséges technikai és szervezési intézkedéseket, vala­ mint a 21. cikk szerinti utasításokat. az illetékes hatóságnak az adatfeldolgozót e tekintetben ellenőriznie kell.

az adatok zárolásának, törlésének vagy megsemmisítésének, az adatfeldolgozás átmeneti vagy végleges tilalmának elren­ delése; az adatkezelő figyelmeztetése vagy megrovása, illetve az ügy nemzeti parlament vagy más politikai intézmény elé utalása;

(4) az adatfeldolgozó kizárólag valamely jogi aktus vagy írásba foglalt szerződés alapján dolgozhat fel személyes adatokat.

23. cikk

Előzetes konzultáció

a tagállamok biztosítják, hogy egy új nyilvántartó rendszer részét képező személyes adatok feldolgozásának létrehozása előtt konzultációra kerüljön sor az illetékes nemzeti felügyeleti hatóságokkal, amennyiben:

a) a 6. cikkben említett különleges adatkategóriákat kell feldol­ gozni; vagy

b) a feldolgozás típusa – különösen az új technológiák, mecha­ nizmusok vagy eljárások alkalmazása – egyébként különös kockázatokat jelent az adatalany alapvető jogai és szabad­ ságai és különösen a magánélete tekintetében.

24. cikk

Szankciók

a tagállamok elfogadják az e kerethatározat rendelkezéseinek teljes körű végrehajtását biztosító megfelelő intézkedéseket, és különösen hatékony, arányos és visszatartó erejű szankciókat állapítanak meg az e kerethatározat alapján elfogadott rendelke­ zések megsértése esetére.

25. cikk

Nemzeti felügyeleti hatóságok

(1) a tagállamok biztosítják, hogy a tanácsadásért, valamint az e kerethatározat alapján az általuk elfogadott rendelkezések területükön való alkalmazásának ellenőrzéséért egy vagy több hatóság legyen felelős. Ezek a hatóságok a rájuk ruházott feladatok ellátása során teljes függetlenséggel járnak el.

(2) Minden hatóság különösen a következőkkel rendelkezik:

a) vizsgálati jogkör, mint például az adatfeldolgozási műveletek tárgyát képező adatokhoz való hozzáférésre vonatkozó jogosultság, továbbá a felügyeleti feladatok ellátásához szük­ séges valamennyi információ összegyűjtésére vonatkozó jogosultság;

b) hatékony beavatkozási jogosultságok, mint például az adat­ feldolgozási műveletek megkezdése előtti véleményezés joga és az ilyen vélemények megfelelő közzétételének biztosítása;

c) bírósági eljárásban való részvétel joga vagy az igazságügyi hatóságok előtt eljárás kezdeményezésének jogosultsága az e kerethatározat alapján elfogadott nemzeti rendelkezések megsértése esetén. a felügyeleti hatóság kifogásolható hatá­ rozatai bíróság előtt megtámadhatók.

(3) Xxxxx kérelemmel fordulhat a felügyeleti szervhez a személyes adatok feldolgozása vonatkozásában őt megillető jogok és szabadságok védelme érdekében. a kérelem elbírálá­ sáról az érintett személyt értesíteni kell.

(4) a tagállamok biztosítják, hogy az adott illetékes ható­ ságra vonatkozó adatvédelmi rendelkezések a felügyeleti hatóság tagjaira és személyzetére is kötelezőek legyenek, valamint hogy e személyeket a számukra hozzáférhető bizalmas információk tekintetében szakmai titoktartási kötelezettség terhelje, megbíza­ tásuk lejártát követően is.

26. cikk

A harmadik országokkal kötött megállapodásokkal való viszony

Ez a kerethatározat nem érinti a harmadik országokkal a keret­ határozat elfogadásakor meglévő kétoldalú és/vagy többoldalú megállapodások értelmében a tagállamokra vagy az Unióra háruló kötelezettségeket és kötelezettségvállalásokat.

Ezen megállapodások alkalmazása során a valamely másik tagál­ lamtól átvett személyes adatok harmadik országnak történő továbbítását a 13. cikk (1) bekezdése c) pontja vagy, adott esetben, a (2) bekezdése tiszteletben tartásával kell végrehajtani.

27. cikk

Értékelés

(1) a tagállamok 2013. november 27-ig jelentést nyújtanak be a Bizottságnak az általuk az e kerethatározatnak való teljes megfelelés érdekében hozott nemzeti intézkedésekről, különös tekintettel azokra a rendelkezésekre, amelyeknek már az adat­ gyűjtés során meg kell felelniük. a Bizottság megvizsgálja a rendelkezéseket különösen az e kerethatározatnak az 1. cikk

(2) bekezdésében megállapított hatályának alkalmazása szem­ pontjából.

(2) a Bizottság egy éven belül jelentést nyújt be az Európai Parlamentnek és a Tanácsnak az (1) bekezdésben említett érté­ kelés eredményéről, és a jelentéshez mellékeli az e kerethatáro­ zatra vonatkozó megfelelő módosítási javaslatokat.

28. cikk

Az Unió korábban elfogadott jogi aktusaival fennálló viszony

azokban az esetekben, amikor az Európai Unióról szóló szer­ ződés VI. címe szerint, az e kerethatározat hatálybalépésének időpontját megelőzően elfogadott, a személyes adatok tagál­ lamok közötti cseréjét vagy az Európai Közösséget létrehozó szerződés alapján létrehozott információs rendszerekhez a tagál­ lamok kijelölt hatóságai által történő hozzáférést szabályozó valamely jogi aktus különös feltételeket vezetett be az ilyen adatoknak az átvevő tagállam általi felhasználására vonatko­ zóan, e feltételek elsőbbséget élveznek e kerethatározatnak a más tagállamtól kapott vagy általa hozzáférhetővé tett adatok felhasználására vonatkozó rendelkezéseivel szemben.

29. cikk

Végrehajtás

(1) a tagállamok meghozzák azokat az intézkedéseket, amelyek szükségesek ahhoz, hogy ennek a kerethatározat rendelkezéseinek 2010. november 27. előtt megfeleljenek.

(2) Ugyaneddig az időpontig a tagállamok eljuttatják a Tanács Főtitkárságának és a Bizottságnak azon rendelkezéseknek a szövegét, amelyekkel az e kerethatározatból fakadó kötelezett­ ségeket nemzeti jogukba átültetik, valamint a 25. cikkben emlí­ tett felügyeleti hatóságokra vonatkozó információkat. az e tájé­ koztatás felhasználásával készült bizottsági jelentés alapján a Tanács 2011. november 27. előtt megvizsgálja, hogy a tagál­ xxxxx milyen mértékben felelnek meg e kerethatározat rendel­ kezéseinek.

30. cikk

Hatálybalépés

Ez a kerethatározat az Európai Unió Hivatalos Lapjában való kihirdetését követő huszadik napon lép hatályba.

Xxxx Xxxxxxxxxxx, 2008. november 27-én.

a Tanács részéről az elnök

X. xXXXXX-XxXXX